Сертификаты для почтового сервера

    В статье вы узнаете, что такое SSL-сертификат для почтового сервера и сертификат S/MIME. Мы расскажем, от чего и на каких этапах пересылки писем они защищают.

    Что такое SSL для почтового сервера

    Почтовый сертификат SSL ничем не отличается от обычного SSL для сайта. Задача сертификатов в том, чтобы защитить соединение между А (браузером или почтовым клиентом) и Б (сервером сайта или почтовым сервером). В другой статье мы уже рассказывали, что такое SSL-сертификат и для чего он нужен.

    Электронная почта устроена таким образом, что наличие SSL-сертификата на почтовом сервере не гарантирует полную защиту письма на пути от отправителя к адресату. Чтобы разобраться, на каких этапах он защищает, упрощённо опишем путь письма:

    • 1.
      Почтовый клиент отправляет письмо почтовому серверу отправителя.
    • 2.
      Сервер отправителя находит сервер получателя и отправляет ему письмо. Затем письмо проходит через несколько промежуточных почтовых серверов перед тем, как попадёт на сервер получателя.
    • 3.
      Сервер получателя отправляет письмо почтовому клиенту получателя.

    SSL защищает соединение между почтовым клиентом (как веб-версией, так и клиентом по типу Outlook или Thunderbird) и почтовым сервером только на 1 и 3 этапах. На 2 этапе, когда письма проходят через несколько серверов на пути к получателю, они могут быть перехвачены злоумышленниками на незащищённых узлах. Нет гарантии, что промежуточные серверы защищены SSL-сертификатами.

    Письма по умолчанию никак не зашифрованы и поэтому злоумышленник может получить доступ к содержимому перехваченного письма. Поэтому наличие SSL/TLS-сертификата на вашем почтовом сервере не гарантирует полную защиту писем, но всё равно значительно снижает риски.

    На почтовых серверах хостинга Рег.ру установлены SSL-сертификаты. Соединение защищено как через веб-клиент, так и через обычные почтовые клиенты. Единственная проблема, с которой вы можете столкнуться, это несоответствие доменного имени в сертификате для почтового сервера (mail.hosting.reg.ru) и доменного имени, на базе которого создана ваша почта. Из-за этого в почтовом клиенте при добавлении ящика появится уведомление о несоответствии имён в сертификате. На безопасность это не влияет. Если вы хотите, чтобы имя домена в адресе и сертификате соответствовало, установите сертификат на почтовый домен.

    Как установить SSL на почтовый домен

    Чтобы уведомление не появлялось, вы можете установить сертификат на почтовый домен через панель управления ispmanager. Эта инструкция подойдёт для тех ящиков, которые созданы на хостинге Рег.ру с панелью управления ispmanager 6. Чтобы установить сертификат:

    • 1
      Добавьте сертификат в панель управления. Он должен быть выдан на домен, который идёт после знака «@» в названии ящика.
    • 2

      Откройте раздел Почта и нажмите на Почтовые домены в панели управления:

      Открыть почтовые домены в ispmanager 6

    • 3

      Выберите домен и нажмите Изменить:

      Изменить настройки почтового домена

    • 4

      Поставьте галочку напротив «Защищенное соединение SSL» и введите имя домена в поле «Псевдоним для сертификата». Выберите нужный сертификат в выпадающем списке «SSL-сертификат» и нажмите Ok:

      Включить SSL для почтового домена

    Готово, вы установили сертификат на почтовый домен. Теперь имя в сертификате будет соответствовать имени домена в почтовом ящике.

    Что такое S/MIME

    S/MIME ― это стандарт шифрования электронных писем, который гарантирует, что письмо сможет прочитать только адресат. Также S/MIME при помощи цифровой подписи гарантирует целостность письма и отсутствие изменений после отправки. S/MIME выполняет важные функции безопасности email:

    • конфиденциальность ― благодаря шифрованию прочитать письмо может только его получатель,
    • целостность данных ― благодаря цифровой подписи получатель точно знает, была ли подмена данных в письме или нет.

    Отправитель запрашивает открытый ключ получателя и при помощи него шифрует письмо. А получатель расшифровывает письмо при помощи своего приватного ключа. Шифрование и расшифровка писем происходит только при помощи ключей получателя. Сертификат для электронной почты S/MIME можно использовать только в том случае, когда он включен и у отправителя и у получателя. Это одна из причин, по которой S/MIME не так широко распространён.

    Если вдруг зашифрованное при помощи S/MIME письмо будет перехвачено, злоумышленник не сможет его расшифровать и прочитать, потому что у него нет приватного ключа. Поэтому, чтобы покопаться в чужой переписке, злоумышленнику недостаточно своровать само письмо, так как оно зашифровано и его нужно как-то расшифровать. А расшифровать его можно только с приватным ключом. Поэтому этот тип защиты является хорошим дополнением к SSL: SSL защищает письма от перехвата, а S/MIME шифрует содержимое.

    В отличии от SSL, S/MIME-сертификат устанавливается в почтовом клиенте. Поэтому клиент должен поддерживать этот протокол. S/MIME поддерживается большинством популярных почтовых клиентов: Mozilla Thunderbird, Outlook, The Bat! и другими.

    SSL и S/MIME― отличная связка для безопасной переписки по электронной почте. Но в реальности этим мало кто пользуется. Поэтому сегодня обязательный минимум ― это SSL на почтовом сервере, который значительно повышает безопасность переписки.

    Помогла ли вам статья?

    Спасибо за оценку. Рады помочь 😊

     👍
    Специальные предложения